Seberapa berbahayakah JavaScript?

9

Saya baru-baru ini mulai menggunakan NoScript (selain ABP). Butuh beberapa saat untuk membiasakan diri dan kadang-kadang dapat memerlukan beberapa klik saat mengunjungi situs baru untuk menyelidiki mengapa situs tersebut tidak berfungsi dan di mana saya harus mengizinkan JavaScript dari. Apakah keamanan ekstra sepadan?

Beberapa kontroversi dibahas di sini . Saya kira itu bermuara pada apakah JavaScript benar-benar ancaman bagi komputer Anda atau tidak. Ada pemikiran tentang ini?

security javascript Gordon Gustafson
sumber
2
Coba tinyurl.com/y8qdwsv jika Anda merasa menjelajah tanpa NoScript adalah ide yang bagus.
Josh K
1
Coba tinyurl.com/ydwxk63 jika Anda ingin tertawa sangat keras.
Hasaan Chop
@JoshK owwww, CPU dan mem berjalan naik!
Maxim Zaslavsky
1
Dan beberapa hal mungkin macet. Itu 2.4MB dari iframe's
Josh K
@Josh K: Saya sangat kecewa FireFox mengizinkannya. Opera menunjukkan perilaku yang berbeda (hampir tidak menyebalkan) tetapi itu masih berjalan jauh. Chrome tidak terlalu ribut sama sekali; tampaknya membatasi seberapa sering dapat muncul. (Ya, saya cukup bodoh untuk mencobanya 3 kali)
mpen

Jawaban:

3

Alasan NoScript bahkan ada di tempat pertama belum tentu JavaScript per se , tetapi lubang keamanan di browser. Di masa lalu Firefox dan browser lain memiliki banyak kerentanan keamanan yang memungkinkan JavaScript jahat melakukan hal-hal buruk pada sistem pengguna. (Dalam banyak kasus, kode asli dapat dieksekusi melalui JavaScript, artinya situs web berpotensi melakukan apa saja ke komputer Anda.) Ada juga kemungkinan serangan skrip lintas situs , seperti kata @Eric.

Namun, ancaman ini sangat sedikit dan jarang terjadi kecuali Anda secara teratur menelusuri situs web yang teduh, jadi apakah NoScript layak atau tidak, masalahnya ada di tangan Anda. Secara pribadi, saya tidak menganggapnya sepadan, terutama mengingat semakin banyak situs web yang membutuhkan JavaScript untuk berfungsi sama sekali, yang berarti Anda akan terus-menerus menggunakan skrip daftar putih atau seluruh domain (dan pada saat itu, Anda mengalahkan sebagian dari manfaat menggunakannya di tempat pertama).

Sasha Chedygov
sumber
4

Lihat http://en.wikipedia.org/wiki/Cross-site_scripting dan http://en.wikipedia.org/wiki/Cross-site_request_forgery untuk contoh bagaimana seseorang dengan niat jahat dapat menyebabkan masalah dalam menggunakan JavaScript.

FWIW - Saya pribadi tidak menggulung dengan NoScript karena saya pikir itu sakit kepala utama. Terkadang Anda hanya perlu menonton di mana Anda menjelajah dan berharap yang terbaik.

Eric
sumber
2
Saya tidak tahu, saya pikir keduanya adalah kekhawatiran yang lebih besar untuk pengembang web daripada pengguna. Saya kira situs yang dirancang dengan buruk rentan terhadap cacat semacam itu yang kemudian dapat membahayakan data pengguna .. tapi sungguh, barang apa yang akan mereka curi? Anda nama pengguna di beberapa forum payah? Whoopy doo. Satu-satunya tempat yang penting adalah ketika Anda mendapatkan info dan barang kartu kredit, tetapi Anda tidak boleh memasukkan informasi semacam itu di situs yang tidak Anda percayai.
mpen
2
@ Mark, Apakah Anda mengerti apa itu CSRF? Katakanlah Anda membuka peramban ke bank dan tab lain terbuka ke situs jahat. Dengan CSRF situs jahat dapat menipu browser Anda untuk membuat permintaan ke bank Anda untuk mentransfer semua uang Anda dari akun Anda.
Zoredache
1
Anda dapat melindungi diri dari CSRF dengan keluar dari situs sensitif sebelum pergi ke tempat lain. Meskipun saya ingin berpikir bank akan dirancang tanpa lubang mencolok ini, saya tahu mereka belum pernah ada di masa lalu.
Zurahn
1
  • JavaScript yang ditulis dengan buruk atau jahat dapat merusak browser Anda, atau menyebabkannya macet

  • JavaScript dapat digunakan untuk menyebabkan unduhan drive-by

  • Tetapi, digunakan dengan benar dan sebagaimana dimaksud, JavaScript memang meningkatkan pengalaman menjelajah web

Ada pro dan kontra, tetapi secara keseluruhan itu sepadan dengan masalahnya. Sebagai catatan, saya selalu menggunakan ekstensi NoScript, mengaktifkan skrip secara selektif untuk situs yang saya kunjungi secara teratur dan saya harapkan aman.

Grant Palin
sumber
0

Meskipun secara teknis telah ada eksploitasi dalam pemrosesan gambar dan rendering XML dan sejenisnya, untuk semua maksud dan tujuan saat ini ada tiga vektor serangan: rekayasa sosial (menipu pengguna, membuat pengguna menjalankan file berbahaya), plugins (Flash) , dan JavaScript.

JavaScript secara langsung memungkinkan instruksi untuk dijalankan, dan itu sangat buruk dalam kasus Internet Explorer karena keputusan yang sangat buruk dan implementasi kontrol ActiveX di masa lalu (meskipun Microsoft telah meningkatkan dalam hal ini). Anda juga tidak perlu pergi ke situs teduh, karena iklan disajikan dalam JavaScript dan ada beberapa kasus di mana iklan berbahaya telah disajikan ke situs yang sah.

Jawaban singkat: Jika Anda khawatir tentang ancaman, ada tiga hal yang perlu diperhatikan: Internet Explorer, Flash, dan JavaScript.

Zurahn
sumber
"JavaScript secara langsung memungkinkan instruksi dijalankan" - sumber? Ini benar dalam versi IE yang lebih lama karena ActiveX, tetapi sekarang ini hanya terjadi ketika eksploitasi keamanan ditemukan, dan itu biasanya ditambal dengan cukup cepat. JavaScript sendiri sebenarnya tidak bisa berbuat banyak untuk sistem Anda - paling banyak, itu bisa memperlambat atau mungkin membuat browser Anda mogok.
Sasha Chedygov 8-10
2
JavaScript adalah bahasa pemrograman, Anda menulis instruksi. Saya tidak mengacu pada instruksi level kode mesin, saya mengacu pada bahasa itu sendiri - bahwa menjalankan JavaScript adalah menjalankan kode; tidak lebih, tidak kurang. Berbeda dengan HTML dan CSS (selain dari eval di IE) yang murni deskriptif. Karena itu, kemungkinan kerentanan melalui JavaScript secara astronomis lebih tinggi - JavaScript hanya jinak jika tidak ada kesalahan baik dalam implementasi atau spesifikasi, yang tidak akan pernah terjadi.
Zurahn
0

Sangat sedikit komputer jika ada komputer yang terhubung ke internet mengeksploitasi bukti. Seseorang bahkan tidak perlu MeltDown atau Specter untuk mendapatkan iklan jahat di komputer Anda, itu datang dari situs web tepercaya seperti biasanya.

Inilah mengapa epidemi iklan berbahaya tumbuh jauh lebih buruk tahun lalu. Pengalihan paksa dari kelompok Zirconium mendorong malware palsu dan pembaruan Flash palsu. DAN GOODIN - 23/1/2018, 5:00 AM

Pada tahun 1990-an, Netscape Navigator telah menandatangani javaScript secara digital, kita memerlukan versi yang disempurnakan sekarang.

rjt
sumber